image

Column: Exit – en dan?

woensdag 8 oktober 2008, 10:53 door Redactie, 0 reacties

Vertrekkende medewerkers zijn een zaak voor HR. Maar zij vormen ook een bedreiging van de veiligheid van de organisatie. De maatregelen die getroffen worden benadrukken daarbij de informatie die verloren gaat of op ongewenste plaatsen terechtkomt. Het is dan ook logisch dat dit onderwerp bij informatiebeveiliging getrokken wordt. We hebben de acties rond uit dienst gaan (deprovisioning van toegang) immers al.

Er is een aantal bedreigingen om te overwegen:

Ten eerste heeft de organisatie (dat heb je nu eenmaal met kenniswerkers) geïnvesteerd in de medewerker – en die investering wil je beschermen. Liefst door de medewerker gewoon binnen te houden natuurlijk.

Ten tweede verzamelen medewerkers in de loop van de tijd een hoop digitale informatie thuis – zeker als ze wel eens thuis werken hebben ze na verloop van tijd eerdere versies van zo’n beetje ieder document waar ze mee te maken hebben gehad. Dit risico kan aardig oplopen – en komt juist voor in informatie-intensieve beroepen.

Ten derde kan de vervanging van medewerkers met een spilfunctie de productiviteit en de continuïteit benadelen. Als die 3e lijner die alle moeilijke zaken oplost ermee ophoudt, wel, dan kan het even duren voor je je service levels weer haalt. Hetzelfde geldt voor die boekhouder die door de cijfers heen kan kijken en in alle crisissituaties onmisbaar blijkt. (Het is logisch dat de buitenwereld deze mensen het liefst bij je wegkaapt. Dat doe je zelf ook.)

De laatste is dat medewerkers beschikken over interne kennis van de organisatie, de sterktes en de zwaktes, de klanten, de plannen en de lijken in de kast. Zo lang zij in dienst zijn, is dit zinvolle kennis, en kunnen zij niet zonder. Echter, na uitdiensttreding zou je deze informatie het liefst willen wissen uit hun brein. Dat gaat niet zonder al te drastische stappen. Toch zul je je goed moeten realiseren dat deze informatie (zolang het nog actueel is, en dat kan best wel lang zijn) buiten je beveiligingsbereik is. Zo lang een medewerker in dienst is, beschermt de medewerker zichzelf door echt gevoelige zaken niet aan de grote klok te hangen. Bij uit dienst is het maar afwachten. Dit is informatiebeveiliging pur sang.

Wil je goed omgaan met exits van medewerkers, dan houd je rekening met alle vier de bedreigingen. Dat is niet makkelijk. Omdat het onderwerp ook nog eens zweeft tussen HR, ICT en de business zijn de resultaten meestal niet om over naar huis te schrijven. De aanpak verschilt ook nogal per organisatie.

Amortisatie
Voor het terughalen van investeringen in medewerkers zijn amortisaties bedacht. Amortisaties kunnen overgenomen worden door een nieuwe werkgever. Amortisaties dekken echter alleen de zichtbare – en recente - kosten (van trainingen waar facturen van zijn); als iemand een tijdje meeloopt bij een toko is er feitelijk veel meer geïnvesteerd. Denk ook aan de projectmanager die een megaproject in de soep heeft laten lopen – die heeft veel geleerd. Maar goed, amortisatie is beter dan niets.

Zwervende informatie
Voor de thuis verzamelde digitale informatie liggen technische oplossingen binnen bereik, met WRM-achtige middelen. Het inleveren van toegang tot informatie is immers gewoon een variant van deprovisioning binnen het mobiele domein – dus ook als die informatie bij de medewerker thuis is. Tot we dat echt invoeren hebben we een procedure waarin staat dat iemand die uit dienst gaat ‘alle informatie’ van het bedrijf dient te verwijderen van ‘alle datadragers’. Wat alleen niemand doet, hetgeen blijkbaar zelden tot problemen leidt.

Spilfuncties
Bij medewerkers op spilfuncties die weggaan, gaat het om het verlies van strategische en tactische kennis. Om dat op te lossen is per geval een nadere analyse nodig. Een paar weken inplannen voor ‘kennisoverdacht’ boekt in elk geval zelden het gewenste resultaat. Iemand die uit dienst gaat ‘alles’ te laten opschrijven wat ie weet, ook niet: niet iedereen kan alles wat ie weet in een planbare tijd opschrijven, en bij mensen die in een week alles wat ze weten kunnen opschrijven, moet je blij zijn dat ze weg gaan.

Bij medewerkers op spilfuncties hoor je vaak over het gevaar van “IT helden” die als enige iets kunnen, met daarbij de waarschuwing dat je dat dus nooit moet laten gebeuren. Maar deze IT helden beschikken meestal niet over kennis die ze anderen onthouden (dat is meer iets voor het middenmanagement), zij kunnen gewoon goed kennis opbouwen op basis van informatie. En dat is een vaardigheid, die los staat van de specifieke informatie.

Wie toch bang is om afhankelijk te worden van IT helden, kiest er nogal eens voor om alleen mensen aan te nemen die de procedures naar de letter volgen, omdat ze nu eenmaal niet beter kunnen. Dan stel je dus eigenlijk een maximum aan vaardigheden in. Dat is niet alleen dom, het is suïcidaal voor je organisatie. Daarbij moet je continu mensen inhuren met kennis die je zelf niet in huis hebt – ook niet handig. Het is het bekende verhaal van pay peanuts, get monkeys. Met goeie mensen op spilfuncties moet je gewoon blij zijn, en je moet ze goed behandelen. Gaan ze weg, probeer dan even goede mensen te vinden.

Wat je vanuit informatiebeveiliging moet zeker stellen is een goede overdracht van lopende zaken; een exitgesprekje met ‘Security’ in goede sfeer waarin een vertrekker zijn losse eindjes kan uitleggen is zó geregeld. Als je toch bezig bent, richt dat dan ook in voor vertrekkende inhuur; kennis die je vrijwel cadeau kan krijgen verlaat de organisatie en het verwerven ervan kost bijna niets.

Non-concurrentie bedingen
Wat kun je nog meer doen? De meeste organisaties nemen een non-concurrentie beding op in hun contracten. Formeel beoogt zo’n beding het intellectuele eigendom van het bedrijf te beschermen. De kennis die een ex-medewerker heeft wordt bestempeld tot bedrijfseigen informatie, die niet mag worden ingezet voor de concurrent in de volgende baan van de ex-medewerker. De bescherming van bedrijfseigen informatie ligt in dit scenario blijkbaar bij HR.

Als medewerkers toegang hebben tot gevoelige informatie, dan moet die informatie afgeschermd worden. Iedereen die erbij kan moet zich aan dezelfde regels houden. Inhuur valt echter niet onder een dergelijk beding. Het hogere management trouwens ook niet. De informatie is bovendien niet als zodanig geclassificeerd of aangemeld bij Informatiebeveiliging. Blijkbaar is zo evident welke informatie het
betreft, dat nadere specificatie niet nodig is.

De wetgever heeft als poldercompromis een maximale duur van een half jaar aan non-concurrentiebedingen gehangen. Voor slechts weinig beroepen geldt dat na zes maanden de organisatie zo veranderd is, dat het niet uitmaakt dat iemand inmiddels voor de concurrentie werkt. Deze zes maanden termijn is even zinloos als het middel zelf.

Als je toch bij ‘de concurrent’ gaat werken kan je oude baas het boetebedrag opeisen. Bij dergelijke conflicten weegt de rechter het aanmerkelijke belang en stelt eigenlijk altijd vast dat een werknemer die niet kan eten meer schade oploopt dan een bedrijf dat een gehoopt resultaat niet haalt. Onder water speelt mee dat als een werknemer niet meer in het eigen beroep aan de slag kan, de wetgever tevens voor de kosten (van de uitkering en omscholing) opdraait. De werkgever wil gewoon dat mensen helemaal niet weggaan uit zichzelf en gebruikt niet nader gespecificeerde ‘gevoelige informatie’ als stok om de hond te slaan. Zo hebben we een nutteloze regel gekregen op basis van drogredenen.

Non-disclosure beding
Om hergebruik van kennis bij concurrenten tegen te gaan kennen we ook nog de non-disclosure bedingen (NDA’s). Zij gelden vaak wél voor de ingehuurde medewerkers. NDA’s opereren goeddeels in grijs gebied. Immers, hoewel ze beogen diefstal van kennis tegen te gaan, zijn ze (net als non-concurrentie bedingen) niet specifiek over welke kennis het dan gaat. Nauwkeuriger definities dan “Alles wat je hoort over project X of product Y” zijn zeldzaam. Dat een zó bot mes niet de beoogde resultaten kan behalen zonder bijwerkingen, is duidelijk. Of je negeert een NDA in je volgende functie en je noemt het ‘vergeten’, of je gebruikt een substantieel deel van je kennis en inzichten niet bij de nieuwe baas om maar geen risico te lopen. In ieder geval is het aantal rechtszaken rond het overtreden van NDA’s zeer beperkt. De vraag is of er veel mensen op halve kracht draaien vanwege eerder getekende NDA’s, of dat ze massaal genegeerd worden.

Een andere benadering
Zoals de Amerikaanse economen Bolder en Levine omstandig aantonen, vormen belemmeringen op het vrije verkeer van informatie en personen (intellectueel eigendom) een grote rem op innovatie en economische groei. Het meest sprekende voorbeeld komt uit de VS: het grootste verschil in juridische arbeidsvoorwaarden binnen de VS gaat over non-concurrentie bedingen. In vrijwel alle staten zijn de regels min of meer vergelijkbaar met die in ons land. Behalve in Californië (zie het boek van Ronald Gilso), daar heeft een non-concurrentie beding geen waarde. En zoals we weten ligt de grootste innovatiekracht van de VS juist daar. Volgens kenners ligt dit aan het vrije verkeer van medewerkers. Dit feit wordt onderbouwd met de cijfers uit Michigan, dat sinds 1985 non-concurrentie bedingen honoreert. Sindsdien is de innovatie daar structureel ingezakt.

Het argument dat tegen een versoepeling of afschaffing van deze bedingen wordt ingebracht is dat de schade voor een onderneming immens kan zijn. Waarom zou je nog in innovatie investeren, als het zó wegloopt? Het antwoord is eenvoudig; innoveren moet los staan van het vertrek van medewerkers. Innovatie kan immers ook beginnen op het moment dat een nieuwe medewerker met een goed idee komt dat bij zijn vorige baas niet aansloeg.

Waarom hindert de wetgever werknemers in het uitoefenen van een gestegen marktwaarde? Omdat ‘de economie’ in ons poldermodel vertegenwoordigd wordt door lobbies van bestaande grote firma’s, die het onderscheid tussen ‘de economie’ en ‘de eigen economie’ niet helder zien. Dit argument zou je dan net zo hard kunnen toepassen op de topmanagers en inhuur, die immers ook veel waard zijn. Hebben die een non-concurrentiebeding? Nou dan. Meer marktwerking zou hier écht geen kwaad kunnen, waarbij het belang van een individueel bedrijf haaks staat op het macro-economische belang.

De gedachte achter non-concurrentie maatregelen is dat innovatie daalt als de resultaten niet via de wetgever veiliggesteld worden. Terwijl creative destruction in alle leerboekjes van het kapitalisme voorkomt als condicio sine qua non voor economische groei, beschermt de overheid de grote ondernemingen (die de kosten en moeite van patenten kunnen opbrengen) omwille van de werkgelegenheid. Via de wet ondersteunen we dus de dinosauriërs onder de bedrijven, met alle gevolgen van dien.

Het is niet toevallig dat de grootste economische bedreiging uitgaat van een land dat een broertje dood heeft aan alle vormen van intellectueel eigendom. China, inderdaad. De economie van het gevestigd belang die we opgebouwd hebben middels regels voor intellectueel eigendom leidt tot zwakke bedrijven die de internationale slag verliezen. Misschien kunnen we beter gewoon weer aan het werk gaan en zelf weer steeds betere dingen maken. Zonder al die idiote regeltjes.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.